web-dev-qa-db-ja.com

データを失うことなくメモリカードのMBR、パーティションテーブル、およびブートセクタを復元する(「USBC」)

概要

私はFAT32メモリカードを持っています。これをコンピュータに挿入すると、Windowsがフォーマットを要求します。カードは間違いなく空白であるとは考えられておらず、たくさんのファイルがあります。

症状

Hex-editor/disk-viewerを使用してカードを調べたところ、いくつかのセクター/クラスターが、セクターの先頭にUSBCの署名があるもので上書きされていることがわかりました。具体的には、マスターブートレコード(およびパーティションテーブル)がなくなり(したがって、Windowsはカードが空白であり、フォーマットする必要があると考えます)、ブートセクターもなくなります(USBC署名とNO NAMEのボリュームラベルがあります)。およびパーティションタイプはFAT32)。

幸い、FATの両方のコピーはほぼ完全に無傷のようです(ここでクラスターの開始時にいくつかのFATエントリがあり、USBCで上書きされているようです)。ルートディレクトリもほぼ無傷です。ボリュームラベルエントリとサブディレクトリのリストを確認できますが、1つのセクターが上書きされています。 (FAT2の最後のインスタンスの後にUSBCのインスタンスはもうありません。)

仮説

これらの観察結果は、いくつかの主要なファイルシステム構造を消去し、あちこちでいくつかの余分なセクターを上書きするある種のウイルスを示しているようです。グーグルはウイルスの考えを裏付けているようですが、他の人がここでは当てはまらないUSBCと呼ばれるfileを報告し、実際にはcould notseeファイルさえもファイルシステムがないので可能です。これらの症状のあるウイルスに関する情報も、駆除ツールも見つかりません。 (私はそれが実際に自動実行ウイルスによるものかどうか疑問に思わずにはいられません予防ツール。)

質問

FATの破損は、ほとんどが連続したチェーンであり、ルートディレクトリの失われたセクターである可能性があるため、修正できる可能性がありますが、MBR /パーティションテーブルとブートセクターを(フォーマットせずに)復元または(再)作成する便利な方法を知っている人はいますか?またはデータを上書きします)?

data-recoverymbrfat32memory-cardbootsector
4
Synetech

MBR /パーティションテーブルの回復のために最初に試すべきツールは testdisk です。これは優れたドキュメントがあり、使いやすいです。 このガイド を読むことをお勧めします。

2
speakr

私は経験しました、そして私は再び同じ問題を抱えています。

ADATAタイプNH92の外付けUSBHDDを持っています。 NTFSとしてフォーマットされています。いくつかのファイルが欠落していることを発見すると、後でますます多くのファイルが失われました。最後に、ディスクが破損し、Windowsがディスクのフォーマットを要求しました。 HDDを2、3回再フォーマットしましたが、問題が繰り返されたため、ディスクを要求しました。

新しいHDDは半年問題なく動作しました。その後、問題が再び始まりました。 WinHexディスクエディタを使用して、マスターブートレコードが破損していることを発見しました。 NTFSを勉強しました。同じ容量、パーティション、NTFSの他のHDDからコピーしてブートレコードを復元しました。 MFTの場所を確認しました。テーブルの最初のセクターがUSBC署名で始まるのを見ました。他のMFTファイルレコードには同じ最初のセクター署名があり、残りのセクターには他の2バイトがあり、その後ゼロで続行されます。署名のある各セクターがデータをセクターの後半にシフトしていることがわかりました。そこで、このデータを元の場所に戻し、ディスクをチェックしました。 HDDが復旧しました。 2週間後、同じことが起こりました。ウイルス対策でPCをチェックしても何の結果もありませんでした。マカフィーを含む3つの異なるプログラムを使用しました。検索結果はありません。ウイルスは見つかりませんでした。

ウイルスはNTFSに集中していると思ったので、HDDをFAT32に再フォーマットしました。しばらくすると、一部のセクターがUSBC署名によって再度上書きされ、HDDファイルシステムが破壊されました。 PCをメーカーに送りましたが、完全に再フォーマットされ、Windowsが再インストールされました。また、HDDを再フォーマットし、バックアップ用に同じデータで2つの論理パーティションを作成しました。

今日もまた問題があります。 2番目の論理ディスクが破壊されていることを発見しました。 winHexでHDDをチェックしたところ、見た目はOKで、USBC署名付きのセクターが100を超えているが、MFTのすべてのファイルレコードはまだOKであることがわかりました。この論理ディスクもまもなく破壊されると思います。

興味深い点は、ADATA NH92HDDに問題があるのはこのPCだけであるということです。他のPCでADATANH92を問題なく使用しました。このPCで他のHDDも問題なく使用しました。このPCで他のHDDを恒久的に使用し、別のPCでのみADATA NH92を使用するために、長期的な観察を行います。

時々、両方のHDDでセクター署名を検索します。だから私は見るでしょう。

よろしく、ミハル

1
Michal

私は同じ問題を経験しました。これはウイルスではありません。これは、メモリカードリーダーの電子的な障害です(少なくとも私の場合は)。

フォーマット後、別のメモリーカードリーダーを使用して、このコンピューターで別のカードを問題なく使用しようとしました。しかし、疑わしいメモリカードリーダーで別のメモリカードを挿入すると、すぐに破損しました。

1
Ryan